INCERTITUDES
§ 1. Le noyau: le système d’information – l’analyse de la notion générale
de fiabilité
a. Le concept de système d’information – le point commun des signatures
modernes
[193] La signature traditionnelle affiche une constance indétrônable, à l’opposé les moyens d’authentification du cyberespace sont d’une infinie diversité. Cette variété s’illustre aisément. Ainsi, selon le professeur Trudel174, il apparaît légitime de soutenir qu’une signature présentée sous la forme d’un code secret constitue une marque personnelle aux termes de l’article 2827 du C.c.Q. Aux États-Unis, l’UETA autorise, entre autres, une forme sonore de la signature175. Ceci laisse à penser que le fait d’appuyer sur une
173 Id.
174 S. PARISIEN, P. TRUDEL, op. cit., note 27, p. 33 175 UETA, Commentaires, article 9, al. 8, précitée, note 66
combinaison de touches lors d’une conversation téléphonique aurait les effets d’une signature, tout comme dans le cas ou la conversation téléphonique serait matérialisée sur un support papier, signé par les parties. Aux termes des législations modernes, un nom dactylographié au bas d’un message envoyé par courrier électronique, peut bel et bien représenter une signature électronique, de la même manière qu’une signature numérique réalisée au sein d’une infrastructure à clés publiques. La diversité technologique, ainsi que la créativité des concepteurs peuvent nous offrir des formes de signatures innombrables qui seraient toutes dignes de reconnaissance légale.
Image 1 - Différents types de signatures électroniques
1 A. Séquence représentant une clé publique participant dans le modèle de la cryptographie asymétrique
3081 8902 8181 00D9 8C9E 2B14 F9C5 62DE 67A2 B7EF 95E3 F7DC C586 F37A BC0B C127 52EC 0736 730B E6F8 2A39 2901 22FA B6AB 1EF0 B9DD 395A 2AAA 080A 629E CF06 E46B 1B6D 83CD 98DC 173E 0138 B1D2 D210 30F4 6331 1FD3 CFFB 2787 C5DB 2A9B E84A E34B ABA1 2CF7 4335 3F12 989D CAE4 4548 C5C2 6133 9E09 48C8 4BC3 F18E 0B2C E50B 9987 3307 85FC 7C75 1D02 0301 0001
1 C. Combinaison sonore lors d’une conversation
1 D. Signature manuscrite numérisée à la suite d’un balayage optique
1 E. Nom dactylographié dans un message électronique
[194] Les différences entre les procédés énumérés à titre d’exemple sont fondamentales. L’exemple du guichet bancaire est révélateur, le système en question se composant en premier lieu d’un guichet qui distribue des billets sur demande de l’utilisateur, d’un logiciel du guichet qui requiert l’information nécessaire de l’usager, d’une carte magnétique, d’un serveur central, etc. Un autre exemple, le système qui rend possibles nos communications
par courrier électronique moyennant les services de Hotmail, implique aussi un nombre considérable d’éléments, parmi lesquels citons le serveur Web servant à l’interface176, le serveur SMTP177 utilisé pour envoyer et recevoir les messages des autres systèmes, un serveur POP178 autorisant la communication entre les usagers du système, la technologie de création de comptes de courrier électronique (une interface Netauth par exemple), des mots de passe Unix ou NT ou encore un logiciel client fonctionnant à travers du Web qui permettra aux usagers de créer et lire des messages.
[195] Tout en n’ayant pas l’ambition d’approfondir les spécificités des exemples envisagés, cette énumération met en avant les différences considérables entre les divers types d’environnements. Aussi faut-il rappeler que tous les systèmes, guichets bancaires, Hotmail, système téléphonique, permettent la création de signatures électroniques jouissant d’une reconnaissance légale. Les systèmes étudiés à titre d’exemple, tout en faisant preuve de différences majeures pour ce qui est de leur fonctionnement et de leur conception, possèdent le point commun d’appartenir à une catégorie fondamentale – celle des systèmes d’information (ci-après SI), comme île informationnelle et fonctionnelle et noyau du cyberespace. Par conséquent, les signatures créées, tout en ayant différents modes de création, sont réalisées au sein de la même unité fondamentale du monde virtuel, le système d’information.
[196] Le concept de SI réfère à un ensemble d’intervenants (acteurs), données, processus, interfaces et communications qui interagissent pour rendre possibles ses fonctionnalités179. La distinction entre le système d’information, une notion autonome, et les technologies de l’information qui en sont le support est importante. Nous nous intéresserons à la structure du SI pour en distinguer les composantes qui rendent possibles ses fonctionnalités, notamment celles qui sont déterminantes pour le déroulement du processus d’apposition de signatures non-traditionnelles et en déterminent les spécificités.
176 Office de la langue française, Signet, source : http://w3.olf.gouv.qc.ca/banque/index.asp, visitée en mai
2002
177 Le terme désigne le serveur qui sert à l’utilisation du protocole Simple Mail Transfer Protocol. Laura
VICTOR, John MULHERN, « Sending E-mail: Selecting & Configuring Your SMTP Server », Univesity of Pensilvanya, Univesity of Pensilvanya Computer Center,
source : http://www.upenn.edu/computing/help/doc/email/smtp.html, visitée en février 2002
178Le terme désigne le serveur qui sert à l’utilisation du protocole Post Office Protocol. About.com, « Post
Office Protocol », Learn the Net Glossary, source : http://www.learnthenet.com/english/glossary/pop.htm, visitée en mai 2002
179 Jeffrey L. WHITTEN, Lonnie D. BENTLEY, Kevin C. DITTMAN, System Analysis and Design Methods,
Image 2. Les unités structurantes du SI. Les technologies de l’information – « the enabler »
b. Les unités structurantes du système d’information
i. Les intervenants
[197] Le monde nouveau que constitue la société numérique ne peut faire abstraction du facteur humain. Les acteurs dans un système d’information sont un élément central dans la chaîne de sécurité.180 Les acteurs (ou les intervenants) sont les personnes qui sont concernés d’une manière quelconque par le fonctionnement du système d’information181. Il nous apparaît opportun de nous arrêter brièvement sur quelques considérations pratiques afin d’illustrer l’influence des divers intervenants au sein du système d’information.
180 Vincent GAUTRAIS, « Les aspects relatifs à la sécurité », Juris International, Commerce Électronique,
Guide juridique du commerçant électronique, source : http://www.jurisint.org/pub/05/fr/index.htm, visitée en mai 2002
[198] D’abord, les propriétaires des systèmes assurent le financement, le développement, le fonctionnement et la maintenance du SI.182 La pertinence de leur rôle s’explique par l’intérêt que présente pour eux la valeur du système. Le coût de l’implémentation de la majorité des dispositifs et des éléments des SI est à leur discrétion, d’où leur rôle primordial pour les spécificités du système, pris dans son ensemble.
[199] Les utilisateurs des SI représentent la deuxième catégorie d’acteurs.183 Ce sont les
personnes qui se servent du SI ou sont associés à son fonctionnement sur une base régulière. Il existe plusieurs classes d’utilisateurs, parmi lesquelles deux peuvent être distinguées, à savoir les utilisateurs internes et les utilisateurs externes.
[200] Les utilisateurs internes regroupent les employés de l’entreprise pour laquelle le SI est conçu. Cette catégorie englobe le personnel de service, ainsi que les personnels technique et professionnel184, les superviseurs, les gestionnaires et la direction, ayant tous une relation spécifique au SI. Les utilisateurs externes, d’autre part, sont les consommateurs et les entreprises contractantes. Les entreprises recourent de plus en plus souvent à des connexions directes entre leurs SI et celui de leurs des partenaires d’affaires. Ainsi, deux entreprises interconnectent leurs SI et sont, l’une pour l’autre, des utilisateurs externes. Il en va de même pour le consommateur qui accède à un site Web pour effectuer un achat.
[201] Les concepteurs des SI185 représentent un ensemble d’acteurs très important. Ils traduisent les objectifs du système d’information en solutions techniques – configurations, bases de données, réseaux et applications logicielles. Leur importance stratégique tient au fait qu’ils effectuent les choix technologiques. Les solutions technologiques du SI, telles que pensées par les concepteurs, sont ensuite réalisées par les constructeurs186. Bien évidemment d’autres spécialistes techniques peuvent être impliqués, tels les programmeurs de systèmes ou de bases de données, les administrateurs de réseaux. Dans la catégorie directement concernée par le développement du SI se trouve aussi l’analyste de système187 dont le rôle consiste à faciliter l’évolution du SI et des applications logicielles. Cet acteur interagit avec tous les autres et occupe une place centrale dans les rapports entre tous les
182 J. L. WHITTEN, L. D. BENTLEY, K. C. DITTMAN, op. cit., note 179, p. 9 183 Id., p. 11
184 Des exemples de la catégorie sont les ingénieurs, les scientifiques, les statisticiens, les concepteurs. 185 J. L. WHITTEN, L. D. BENTLEY, K. C. DITTMAN, op. cit., note 179, p. 12
186 Id., p. 13. Selon l’auteur, un exemple classique de constructeur et le programmeur d’applications. 187 Id., p. 13
intervenants. Il assure l’interopérabilité de tous les acteurs et concilie leurs efforts au nom de la performance du SI.
[202] Pour les SI basés sur les technologies de l’information, une attention particulière doit être portée aux vendeurs de produits TI188 qui développent, vendent et assurent le support des technologies, de même les consultants externes qui assistent les entreprises lors du choix, du développement ou de l’achat de produits TI.
[203] Le facteur humain, que nous avons choisi de citer en première place dans l’étude de l’environnement des moyens virtuels d’authentification, a été organisé en de différentes classes. Les groupes qui le forment diffèrent entre eux par leurs influences, leurs pouvoirs et leurs possibilités d’affecter le SI. Leurs profils sont aussi distincts et la fiabilité de chacun se compose de divers éléments189. Cependant, la qualité avec laquelle chaque acteur intervient influencera la qualité des fonctionnalités du SI et c’est la raison pour laquelle le facteur humain y mérite une place aussi importante.190
ii. Les données
[204] Les données sont l’unité structurante fondamentale des SI. Elles réfèrent à la source primaire de l’information, à sa genèse et à son contenu191. Les données font l’objet de saisie, stockage, traitement, édition et utilisation. Celles qui se trouvent à la base d’un SI peuvent être nombreuses et de types divers, tel le nom d’une personne, son adresse, le numéro et le solde de sa carte de crédit. Les différents processus de réalisation de signatures électroniques se basent sur les divers types de données qui forment le socle de l’information que la signature renferme. Par exemple, la séquence de symboles que représente la clé de chiffrement réfère à des données qui portent l’information utilisée aux fins de l’application de l’algorithme de chiffrement. Les identifiants sont des données qui permettent de repérer
188 Le terme anglais est IT vendors.
189 J. L. WHITTEN, L. D. BENTLEY, K. C. DITTMAN, op. cit., note 179, p. 28. À titre d’exemple, on
pourrait mentionner les qualités de l’analyste du système. Selon les auteurs cet acteur doit posséder des connaissances en technologies de l’information, en programmation, en gestion et commerce. Parmi les habilités plus concrètes, les auteurs soulignent l’aisance de communication, la flexibilité et l’adaptabilité, l’éthique.
190 Gordon B. DAVIS, « Knowing the Knowledge Workers : A Look at the People Who Work with
Knowledge and the Technology That Will Make Them Better », ICP Software Review, 1982, 70-75
et de localiser des objets et des documents192 et peuvent se retrouver à la base de l’identification d’un texte signé. L’identité du signataire, de même que ses attributs, telle sa fonction, sa qualité, ses droits au sein d’une personne morale, etc.193 représentent des informations dont un certificat peut faire état. Toutes ces données nécessaires au déroulement d’un processus d’apposition de signature peuvent, elles aussi, être basées sur d’autres données.
[205] Les données d’un système sont organisées, notamment par des schémas des bases de données, de manière à permettre et à augmenter l’efficacité de leur utilisation. Certains systèmes d’information ne mettent pas en place la technologie des bases de données. C’est les cas, par exemple, des vieux systèmes patrimoniaux mettant à profil des technologies d’organisation de données simples (flat-file), comme VSAM194. Selon les approches plus modernes, le schéma des bases de données organise les données à l’aide de structures, de champs, de colonnes. Les systèmes de gestion de bases de données (Oracle, DB2, SQL Server, Access, FoxPro) peuvent faire l’objet de standardisations diverses. Dans ces cas, leurs données pouvant être rendues accessibles sont représentées par le biais de langages publics comme SQL195. Le degré de précision du traitement et de l’organisation des données est un autre préalable à la performance du SI.
iii. Les processus
[206] Les processus, comme unité structurante des SI, assurent leurs fonctionnalités. Tout comme les données, les processus sont une unité structurante caractéristique pour tous les systèmes d’information, indépendamment de leur « facilitateur ». Avant la numérisation des systèmes de cartes de crédit, la vérification de leur validité s’effectuait par le commerçant, dont la seule tâche était de s’assurer que le numéro de la carte qui lui avait été présentée n’était pas parmi un certain nombre de numéros invalides, contenus dans des
192 L.C.C.J.T.I ., article 46, al. 4, précitée, note 10 193 Id., article 47, al. 2
194 Dénomination pour Virtual Storage Access Method. Selon cette technologie, la structure des données est
insérée directement à l’intérieur du langage de programmation qui crée les applications utilisant les données.
livrets que les commerçants recevaient sur une base hebdomadaire. Cette vérification était un processus remplissant le rôle d’unité structurante inhérente aux SI d’alors.
[207] Dans un modèle d’apposition de signatures modernes, les processus qui sont employés peuvent relever tant du monde réel que du cyberespace. À titre d’exemple, la vérification de l’identité ou des attributs d’une personne, précédant la délivrance d’un certificat196 se déroule généralement dans le monde physique et en présence des acteurs,
alors que la vérification de la validité d’un certificat auprès d’un répertoire souvent distant de certificats révoqués repose essentiellement sur des moyens électroniques.
[208] Dans le monde moderne fréquemment les processus peuvent être représentés dans un environnement de développement d’application197. L’automatisation des processus s’effectue au moyen d’applications logicielles dont le contenu est déterminé par des langages de programmation, tels COBOL, C++, Visual Basic, Powerbuilder, Smalltalk ou Java. Certains systèmes de gestion de bases de données offrent leur propre langage de programmation, comme Visual Basic for Applications (dans Access) et PL-SQL (dans SQL)198.
iv. Les interfaces
[209] Le rôle des interfaces dans les SI se manifeste de deux manières. L’interface se présente comme un lien entre le système et les utilisateurs d’une part et comme un point de rencontre entre les différents SI. Les interfaces destinées aux utilisateurs assurent leur contact avec le SI et doivent se caractériser par le transparence et la simplicité. Leur importance est majeure pour la participation fiable des utilisateurs dans le fonctionnement du SI. Les interfaces entre les différents systèmes d’information visent à garantir leur interconnectivité. Les systèmes d’information existants reflètent généralement l’état de l’art au moment où ils ont été conçus. Certains d’entre eux résultent d’un «développement maison »199 (in-house development), d’autres sont basées sur des solutions
acquises des vendeurs de produits TI. Ces différences de conception engendrent des
196 L.C.C.J.T.I ., article 51, al. 2, précitée, note 10
197 Le terme anglais est ADE qui est une abréviation de Application Development Environment. 198 J. L. WHITTEN, L. D. BENTLEY, K. C. DITTMAN, op. cit., note 179, p. 56
difficultés d’intégration des systèmes. Cette problématique explique que la qualité des interfaces présentes au sein des unités structurantes des SI soit susceptible d’affecter les qualités du système dans sa totalité.
[210] Comme dans le cas des autres unités structurantes, les interfaces d’un système d’information qui repose sur les technologies de l’information, prennent la forme de solutions technologiques. À titre d’exemple de technologies d’implémentation d’interfaces on peut mentionner l’interface utilisateur graphique Windows servant à implémenter des applications compatibles Windows. Pour ce qui est des applications d’interface entre des SI différents, les exemples de DCOM et COBRA sont pertinents.
v. Les communications
[211] Les communications se sont vues attribuer la place d’unité structurante dans le cadre des SI par la majorité des auteurs et des analystes de systèmes.200 Elles représentent des flux de données entre des entités différentes, qui se caractérisent par leur volume et leur fréquence. Les communications peuvent ne pas être effectuées au moyen des technologies de l’information, si elles font partie d’un système basé sur des supports « classiques ». Les moyens logiciels impliquent des systèmes d’exploitation et de protocoles, tels NetWare, Windows/NT Server, IBM Lotus Notes/Domino, Unix ou Linux. Dans le contexte de l’informatique, les communications s’effectuent par le biais d’une architecture de réseau qui comprend des stations de travail, des terminaux, des serveurs, des périphériques et des dispositifs de connexion entre ces éléments. La performance du système d’information, noyau du cyberespace, est sensiblement influencée par l’organisation des communications. Les communications sont un facteur important dans les architectures d’authentification. [212] Un des grands avantages du monde virtuel est l’autorisation d’interactions sans exigence de présence physique. Par conséquent, la signature électronique fait presque incessamment l’objet de communications de données pendant son cycle de vie. De surcroît, les données employées par le processus création de la signature sont aussi, dans la majorité des cas, communiquées, l’exemple en étant la divulgation d’une clé publique pour permettre le fonctionnement d’une infrastructure à clé publique.
200 John A. ZACHMAN, « A Framework for Information System Architecture », IBM Systems Journal 26,
[213] Les acteurs, les données, les processus, les interfaces et les communications forment le cadre des SI. Leurs qualités et leur degré de fiabilité, de même que la qualité avec laquelle toutes ces unités sont assemblées dans l’architecture du système, sont les éléments qui déterminent la qualité du fonctionnement du SI dans son ensemble. Comme nous l’avons démontré, les activités spécifiques de ces unités structurantes sont à l’heure actuelle véhiculées par des solutions technologiques.
§ 2. Le système d’information - unité informationnelle et fonctionnelle
constitutive du cyberespace, les strates du cyberespace
[214] Les unités structurantes qui ont fait l’objet de l’analyse des pages précédentes présentent le profil type d’un SI, nonobstant ses objectifs ou ses supports. La majorité des organismes agissant dans le domaine des affaires, le domaine social ou gouvernemental ont recours dans leurs activités à un ou plusieurs SI.
[215] En revanche, lorsque le système d’information joue le rôle de noyau du cyberespace, au sens d’ « île » informationnelle et fonctionnelle, les technologies de l’information conduisent ses unités structurantes. Ainsi, transposé dans le cyberespace, le système d’information devient sujet à la stratification de son architecture. Pour organiser nos idées sur l’architecture du cyberespace nous aurons recours à la classification de Lessig201, qui y
distingue trois strates202, à savoir, le plan physique, le code et le contenu.
201 L. LESSIG, op. cit., note 7, p. 23 202 Lessig utilise le terme layer.
Image 3. Les systèmes d’information - une « île » constitutive du cyberespace. Chaque système d’information qui participe, en tant qu’unité constitutive, à la composition du cyberespace, obéit à l’architecture stratifiée du cyberespace. La partie grise désigne la strate physique, la partie bleue – la strate logique et la partie verte – la strate supérieure formée par le contenu.
Le dessin est conçu par François Viens.
a. La strate physique – le niveau de base
[216] La strate physique réfère aux dispositifs, aux équipements et aux structures matérielles sur lesquels l’information, qui forme le contenu du cyberespace, est produite, acheminée et hébergée. La référence est faite à cette strate comme à la première couche du cyberespace à cause son rôle de soutien de l’ensemble des composantes du monde virtuel. Cette strate offre aussi l’infrastructure nécessaire aux processus servant à la réalisation de signatures informatiques.
[217] Dans la démonstration de l’importance de la strate physique pour la performance des systèmes d’information du cyberespace, nous nous arrêterons sur les réseaux, le matériel et le milieu physique.
i. Les réseaux
[218] Les réseaux réfèrent à des ordinateurs ou des dispositifs connectés entre eux. Ils impliquent des liens physiques – des fils de réseau local d’entreprise (LAN)203, des lignes téléphoniques, des terminaux d’accès par composition, des câbles à fibres optiques. Les liens peuvent aussi être électromagnétiques, tels les liaisons hertziennes, des micro-ondes. Les communications sur les réseaux varient selon leurs architectures, déterminées par des